înainte de a crea un certificat client ar trebui să creați un certificat CA care poate fi folosit ca certificat CA rădăcină pentru a semna certificatele client. Pentru a crea un certificat ca pentru serverul desemnat ca server SSL ca, efectuați următorii pași:
- generați o cheie privată pentru certificatul ca
- creați un certificat CA folosind cheia privată
- importați certificatul ca în Firewall – ul aplicației web Barracuda
- activați autentificarea clientului pe Firewall-ul aplicației web Barracuda
- creați un certificat Client
- conversia fișierului PEM în PKCS #12 format
- importați certificatul client în browser
- Pasul 1-generați o cheie privată pentru certificatul ca
- Step 2 – Creați un certificat CA utilizând cheia privată
- Step 3 – Import certificatul CA la Barracuda Web Application Firewall
- Step 4 – activați autentificarea clientului pe Firewall-ul aplicației web Barracuda
- pași pentru activarea autentificării clientului:
- Pasul 5-Creați un certificat Client
- Pasul 6 – conversia fișierului PEM în Format PKCS #12
- Pasul 7 – importați certificatul Client în Browser
Pasul 1-generați o cheie privată pentru certificatul ca
pentru a genera o cheie pentru un certificat ca, executați următoarea comandă OpenSSL server:
openssl genrsa 2048 > ca-cheie.pem
aceasta generează o cheie privată „ca-cheie” în format PEM.
Step 2 – Creați un certificat CA utilizând cheia privată
utilizați cheia privată generată în pasul 1 pentru a crea certificatul CA pentru server. Comanda openssl pentru a genera un certificat CA este următoarea:
openssl req-new-X509-nodes-days 1000-key ca-key.pem > ca-cert.pem
vi se va solicita să furnizați anumite informații care vor fi introduse în certificat. Vedeți exemplul de mai jos:
numele țării (cod de 2 litere): SUA
numele statului sau provinciei ( nume complet): California
numele localității (de exemplu, oraș): Campbell
numele organizației (de exemplu, companie): Barracuda Networks
numele unității organizaționale (de exemplu, secțiune): Inginerie
nume comun (de exemplu, numele dvs.): barracuda.yourdomain.com
adresa de Email : [email protected]
aceasta creează certificatul CA cu valorile de mai sus. Acest certificat acționează ca un certificat CA rădăcină pentru autentificarea certificatelor client.
Step 3 – Import certificatul CA la Barracuda Web Application Firewall
certificatul creat trebuie să fie încărcat în > certificate > de bază Upload Trusted (ca) secțiunea certificat.
Step 4 – activați autentificarea clientului pe Firewall-ul aplicației web Barracuda
pentru a putea utiliza certificatul CA pentru validarea certificatelor clientului, autentificarea clientului trebuie activată mai întâi.
pași pentru activarea autentificării clientului:
- accesați pagina de servicii de bază >.
- în secțiunea Servicii, identificați serviciul pentru care doriți să activați autentificarea clientului.
- Faceți clic pe Editare lângă serviciu. În pagina de editare a serviciului, derulați în jos până la secțiunea SSL.
- setați activați autentificarea clientului și aplicați certificatul Client La Da.
- bifați caseta(casetele) de selectare de lângă parametrul certificate de încredere.
- specificați valorile pentru alți parametri după cum este necesar și faceți clic pe Salvare modificări.
Pasul 5-Creați un certificat Client
pentru a crea un certificat client, utilizați următorul exemplu:
openssl req-newkey rsa:2048-zile 1000-noduri-keyout client-key1.pem > client-req.PEM
generarea unei chei private RSA de 2048 biți scrierea unei noi chei private în ‘ client-key1.pem ‘
…………………………………………………………………………..+++
..+ + +
vi se va cere să introduceți informații care vor fi încorporate în cererea dvs. de certificat.
ceea ce urmează să introduceți este ceea ce se numește un nume distins sau un DN.
există destul de multe câmpuri, dar puteți lăsa unele necompletate
pentru unele câmpuri va exista o valoare implicită,
dacă introduceți ‘.’, câmpul va fi lăsat necompletat.
numele țării (cod de 2 litere) : SUA
numele statului sau provinciei (nume complet) : California
numele localității (de exemplu, oraș) : Campbell
numele organizației (de exemplu, companie) : Barracuda Networks
numele unității organizaționale (de exemplu, secțiune) : suport tehnic
nume comun (de exemplu, companie) : de exemplu, numele dvs.): barracuda.mydomain.com
adresa de e-mail : [email protected]
vă rugăm să introduceți următoarele atribute ‘extra’ care vor fi trimise împreună cu solicitarea de certificat
o parolă de provocare : Secret123
notă: ca o bună practică, utilizați un cont unic pentru acest punct de integrare și acordați-i cel mai mic nivel de privilegii necesare, coordonându-vă cu administratorul. Acest cont necesită privilegii de citire. Pentru informații suplimentare, consultați securitate pentru integrarea cu alte sisteme – Cele mai bune practici.
un nume de companie opțional : –
aceasta creează cheia privată „client-key1” în format PEM.
acum, utilizați următorul exemplu pentru a crea un certificat client care va fi semnat de certificatul CA creat la Pasul 2.
openssl x509-req-în client-req.pem-zile 1000-CA ca-cert.pem-CAkey ca-key.pem-set_serial 01 > client-cert1.PEM
semnătura ok
subiect = / C = SUA / St = California / l = Campbell / o = Barracuda Networks / OU = Tech Support/CN=barracuda.mydomain.com/[email protected]
obținerea cheii Private CA
Pasul 6 – conversia fișierului PEM în Format PKCS #12
utilizați următoarea comandă pentru a converti „client-cert1.PEM „certificat împreună cu” client-cheie1.pem ” la un fișier de schimb de informații personale (pfx token).
openssl pkcs12-export-în client-cert1.PEM-inkey client-cheie1.PEM-out client-cert1.pfx
introduceți parola de Export:secret
notă: ca o bună practică, utilizați un cont unic pentru acest punct de integrare și acordați-i cel mai mic nivel de privilegii necesare, coordonându-vă cu administratorul. Acest cont necesită privilegii de citire. Pentru informații suplimentare, consultați securitate pentru integrarea cu alte sisteme – Cele mai bune practici.
verificare – introduceți parola de Export: secret
Pasul 7 – importați certificatul Client în Browser
certificatul client creat mai sus trebuie trimis clientului pentru a fi importat în browserul său.